O setor de água se beneficiará com a chamada para fortalecimento cibernético da infraestrutura crítica

Estimulado por ataques cibernéticos de alto risco e pela subsequente cobertura da grande imprensa, o governo federal está avançando em direção a novos requisitos para a segurança cibernética de infraestruturas críticas.

Um julho Memorando do Escritório de Gestão e Orçamento (OMB) (PDF) apelou às agências de todo o governo federal para estabelecerem “padrões de desempenho” de segurança cibernética específicos para seus respectivos setores – e, ainda mais significativamente, para orçamentarem a “revisão e avaliação” das agências federais dos planos de fortalecimento cibernético preparados pelas organizações necessárias para atender esses novos padrões.

Necessário: Revisão Federal e Avaliação de Planos

Este nível de supervisão direta amplia a abordagem que hoje é aplicada apenas às infraestruturas nacionais mais críticas - nomeadamente a rede elétrica (regulada pelo Departamento de Energia, a Comissão Federal de Confiabilidade Energética e a North Amerian Reliability Corp.) e petróleo e gás. oleodutos (Departamento de Segurança Interna e Administração de Segurança de Transporte) — em toda a gama de indústrias dos EUA das quais as pessoas dependem, incluindo varejo, produtos farmacêuticos, produtos químicos, transporte e distribuição, alimentos e bebidas, e muitos outros.

Uma indústria que provavelmente sentirá fortemente esta actividade regulatória, e verá mudanças substanciais como resultado, é o sector da água. Altamente vulneráveis ​​a ataques cibernéticos, as empresas de abastecimento de água necessitam urgentemente de padrões de segurança atualizados – e aplicados. Na verdade, a administração Biden sugeriu recentemente que a Agência de Proteção Ambiental (EPA) deverá emitir uma nova regra que incluiria a segurança cibernética nas revisões de saneamento das instalações de água do país – mais adiante apoiando padrões mais elevados quando se trata de segurança cibernética.

Os riscos são altos: um típico sistema municipal de processamento de água filtra 16 milhões de galões de água por dia, e um hacker bem-sucedido pode contaminar todo o abastecimento de água da comunidade. Este não é um medo hipotético — um grupo de hackers conseguiu recentemente se infiltrar em um sistema de tratamento de água em Oldsmar, Flórida. Ao mexer na quantidade de soda cáustica na água, eles colocaram uma cidade inteira em risco. E recentemente, a gangue de ransomware Clop teve como alvo o Sul de Staffordshire concessionária de água no Reino Unido. Embora estes ataques nem sempre sejam bem-sucedidos, a gravidade dos riscos ficou bastante clara.

Apesar das tentativas anteriores para melhorar os padrões de segurança do sector da água, este continua vulnerável. Até Lei de Infraestrutura Hídrica da América de 2018 (AWIA), que afirmou que as concessionárias de água devem desenvolver planos de resposta a emergências que abordem as ameaças à segurança cibernética como parte de um esforço mais amplo para melhorar a infraestrutura geral e a qualidade, não alterou significativamente a postura de segurança cibernética da indústria. O sector abrange 50,000 serviços públicos distintos nos Estados Unidos, a maioria dos quais são pequenos e geridos pelos municípios; esta fragmentação, aliada à relutância geral dos operadores em abandonar as práticas existentes, permitiu que o ímpeto para a mudança se extinguisse.

Mas os precedentes dizem-nos que, quando bem feitas, as regulamentações federais podem fazer a diferença. Já estamos a assistir a progressos noutro sector vulnerável de infra-estruturas críticas: o petróleo e o gás. Seguindo o alto perfil Hack de pipeline colonial em 2021, a Administração de Segurança de Transporte (TSA) do Departamento de Segurança Interna divulgou rapidamente dois Diretivas de Segurança, Com um atualizar em 2022, duplicando os seus esforços para garantir uma melhor proteção das infraestruturas energéticas em todo o país. Essas diretivas enfatizavam o gerenciamento de credenciais e o controle de acesso, duas coisas que teriam ajudado a bloquear o ataque de ransomware em primeiro lugar.

Apesar da resistência inicial dos proprietários e operadores de gasodutos, estes requisitos inéditos da TSA já estão a conduzir todo o setor para um ambiente mais protegido. As operadoras estão agora adotando medidas de segurança centradas na proatividade e na prevenção de ataques.

Chamada para prevenção de ataques leva a mais proteção

A principal diferença aqui é que o As diretivas da TSA exigem planos de implementação para cibernético proteção, não apenas para detecção e resposta a incidentes. Uma vez que os operadores foram obrigados a proteger
sozinhos, e não apenas responderem aos acontecimentos após os factos — e quando o governo federal estava a rever os seus planos de ciberprotecção — o sector do petróleo e do gás começou a mover-se a sério.

E agora, com a orientação do OMB às agências, a mesma supervisão direta da proteção cibernética chegará também a outros setores, incluindo a água. Por outras palavras, o movimento no sector do petróleo e do gás é uma indicação do que está por vir para outras infra-estruturas críticas.

O hack do Oldsmar de 2021 mostrou ao mundo quão fácil – e quão devastador – pode ser um ataque a uma estação de tratamento de água. Independentemente das normas históricas da indústria, um necessidade clara de melhor segurança cibernética surgiu e parece que o governo está preparado para avançar de forma mais agressiva do que nunca. O seu amplo impulso no sentido de uma melhor segurança para infra-estruturas críticas está prestes a ser o catalisador de que muitos sectores, como o da água, necessitavam desesperadamente.

Os proprietários e operadores das centrais já não podem ignorar os riscos; regulamentação mais pesada é um “quando”, não um “se”. Agora é a hora de buscarem uma segurança cibernética melhor e mais moderna.